-安全和隱私控制系列(來源:NIST SP 800-53 R5)
. 安全和隱私控制有效性解決了正確執行控件,按預期運行並在滿足指定的安全和隱私要求方面產生期望結果的程度。
. 一個信息系統是一組離散的信息的資源的收集組織,處理,維護,使用,共享,傳播,或信息處置[OMB A-130]。
. 控制措施為系統安全和隱私工程流程提供了保障和對策,以降低系統開發生命週期中的風險。
. 可以將控制視為對適合實現組織特定安全和隱私目標並反映組織利益相關者保護需求的保護和保護功能的描述。
. 組織選擇並實施控制措施以滿足系統要求。
. 控制可以包括管理,技術和物理方面。
. 為了便於在安全和隱私控件的選擇和說明過程中使用,控件分為20個系列。
. NIST SP 800-53中的20個控制系列中,有17個符合[FIPS 200]中的最低安全要求。
. 該專案管理(PM) ,PII處理和透明度(PT),以及供應鏈風險管理(SR)的家庭地址的企業級專案管理,有關聯邦法律法規的隱私,以及供應鏈風險的考慮,因為[FIPS 200]突現。
. 選擇並實施安全和隱私控制,以滿足對系統或組織提出的安全和隱私要求。
. 安全控制是在系統或組織內採用的安全措施或對策,以保護系統及其信息的機密性,完整性和可用性並管理信息安全風險。
. 隱私控制是系統或組織內採用的管理,技術和物理保護措施,用於管理隱私風險並確保遵守適用的隱私要求。
. 安全和隱私要求源自適用的法律,行政命令,指令,法規,政策,標準和任務需求,以確保處理,存儲或傳輸的信息的機密性,完整性和可用性,並管理個人隱私風險。
. 如USC 44第3542節所定義的,被指定為國家安全系統的信息系統不受[FISMA]的要求。但是,可以根據其他要求(例如1974年的《隱私法》)或在對此類系統行使政策授權的聯邦官員的批准下,為國家安全系統選擇本出版物中建立的控件。
. [CNSSP 22]和[CNSSI 1253]為國家安全系統提供指南。
. [DODI 8510.01]為國防部提供了指導。
. 最後,控件獨立於選擇那些控件所使用的過程。的控制選擇過程可以是的一部分:
. 組織範圍內的風險管理流程,
. 系統工程過程[SP 800-160-1],
. 風險管理框架[SP 800-37],
. 網絡安全框架[NIST CSF],或
. 隱私框架[NIST PF]。
. 該控制的選擇標準可以指導和許多因素,包括任務和業務需求,利益相關者的保護需求,威脅,脆弱性,並要求遵守聯邦法律,行政命令,指令,法規,政策,標準和準則通知。
-控制結構(來源:NIST SP 800-53 R5)
控制實施方法
. 第三章中提供了三種實現控件的方法:
. (1)通用的(可繼承的)控制實現方法,
. (2)一種系統特定的控制實現方法,以及
. (3)混合控制的實現方法。
. 確定適當的控制實現方法(即通用,混合或特定於系統)取決於上下文。
. 通用控件是指這樣的控件,其實現會導致可被多個系統或程序繼承的功能。
. 特定於系統的控制是系統所有者和給定係統的授權官員的主要責任。
. 如果控件的一部分是公共的(可繼承的)而另一部分是特定於系統的,則組織可以將控件實現為混合控件。
. [SP 800-37]提供了有關控制實施方法(以前稱為控制名稱)以及如何在風險管理框架中使用不同方法的其他指南。
. 在這種情況下,可信度意味著值得信任,以滿足組件,子系統,系統,網絡,應用程序,任務,業務功能,企業或其他實體可能需要的任何要求。
. 影響系統可信賴性的兩個基本概念是功能和保證。
. 功能是根據在組織系統和程序以及這些系統和程序在其中運行的環境中實現的安全和隱私功能,功能,機制,服
務,過程和體系結構定義的。
. 保證是對系統功能正確實現,按預期運行並在滿足系統安全性和隱私要求方面產生期望結果的信心的度量,因此具
有準確調解和執行已建立的安全性和隱私策略的能力。
參考
. NIST SP 800-53 R5
. NIST SP 800-53B
資料來源: Wentz Wu 網站